Yeni keşfedilen bir Android kötü amaçlı yazılım olan BTMOB Rat, mobil kullanıcılar için büyük bir tehdit olarak tanımlandı.
Kötü amaçlı yazılım, daha önceki bir yük olan Spysolr’dan gelişti ve kurbanlarını hedeflemek için birden fazla gelişmiş yetenek taşıyor. Birincil dağıtım yöntemi olarak kimlik avı sitelerini kullanan BTMOB Rat, kimlik bilgilerini çalmak, cihazların kontrolünü uzaktan ele geçirmek ve bir dizi kötü amaçlı eylem gerçekleştirmek için Android’in erişilebilirlik hizmetinden yararlanır.
Kötü amaçlı yazılım ayrıca Crax Rat gibi diğer Android tehditleriyle birkaç benzerlik paylaşıyor ve güvenlik araştırmacıları arasında endişeleri artırdı.
BTMOB Rat’ın evrimi ve yetenekleri
BTMOB Rat, mobil kullanıcıları hedefleyen sofistike Android kötü amaçlı yazılımlarda büyüyen bir trendin bir parçasıdır. 31 Ocak 2025’te Cyble Araştırma ve İstihbarat Laboratuarları (CRIL) tarafından keşfedilen ve bugün bildirilen BTMOB Rat, özellikle Inat TV ve sahte kripto para madenciliği web siteleri gibi popüler akış platformlarını taklit eden kimlik avı sitelerine aktif olarak yayılıyor.
Kötü amaçlı yazılım, uzaktan kumanda, kimlik bilgisi hırsızlığı, veri eksfiltrasyonu ve hatta cihaz kilidini açma gibi bir dizi kötü amaçlı etkinlik başlatmak için Android’in erişilebilirlik hizmetlerinden yararlanmak üzere tasarlanmıştır. BTMOB Rat’ı özellikle ilginç kılan şey, WebSocket tabanlı komut ve kontrol (C&C) iletişimiyle kesintisiz entegrasyonudur.
Bu, kötü amaçlı yazılımların komutları gerçek zamanlı olarak yürütmesini, hassas verilerin hırsızlığını kolaylaştırmasını ve saldırganlara enfekte olmuş cihazlar üzerinde kontrol sağlamasını sağlar.
BTMOB RAT nasıl yayılır?
Kimlik avı sahaları BTMOB sıçan için birincil dağılım yöntemi olarak tanımlanmıştır. 31 Ocak’ta Cyble, Türkiye merkezli bir çevrimiçi akış platformu olan Inat TV olarak poz veren bir kimlik avı sitesi aracılığıyla dağıtılan LNAT-TV-Pro.apk adlı enfekte bir APK dosyasını analiz etti. Kötü amaçlı yazılım, EVLF olarak bilinen bir siber suçlu olan Crax Rat ve yaratıcısı ile bağlantısına işaret eden SPYSOLR kötü amaçlı yazılım algılama ile işaretlendi.
Cyble’s Research’e göre, HXXP: // Server adresindeki bir WebSocket sunucusuna bağlı kimlik avı sitesinden indirilen kötü amaçlı yazılım örneği[.]Yaarsa.com/con, en son sürüm olan BT-V2.5’i çalıştırdığını açıkladı. Bu bağlantı, saldırgana gerçek zamanlı kontrol sağlayarak ekran paylaşımı, keyloglama ve veri enjeksiyonu gibi eylemleri sağladı.
Bu kötü amaçlı yazılımların arkasındaki tehdit aktörü, Telegram aracılığıyla BTMOB sıçanını aktif olarak tanıtıyor, bu da sürekli destek için ayda 300 $ ek olarak 5.000 $ karşılığında ücretli lisanslar ve sürekli güncellemeler sunuyor.
BTMOB RAT Nasıl Çalışır
BTMOB Rat bir kurbanın cihazına kurulduktan sonra, kullanıcıyı erişilebilirlik hizmetlerini etkinleştirmesini ister. Bir kez, kötü amaçlı yazılım, çeşitli zararlı eylemleri otomatikleştirmek için bu erişimi kullanır. WebSocket bağlantısı, enfekte cihaz ve C&C sunucusu arasındaki çift yönlü iletişimi kolaylaştırır, bu da kötü amaçlı yazılımların çeşitli komutları yürütmesine ve hassas verileri dışarı atmasına izin verir.
Kötü amaçlı yazılım, aşağıdakiler gibi komutlar da yürütebilir:
- Anahtarlama: Kullanıcıdan yazılan girişi yakalamak.
- Kimlik Doğru hırsızlığı: Sahte oturum açma sayfalarını meşru uygulamalara enjekte etmek ve kullanıcı tarafından girilen verileri yakalamak.
- Canlı Ekran Paylaşımı: Saldırganların cihazın ekranını uzaktan görüntülemesini ve kontrol etmesini sağlamak.
- Dosya Yönetimi: Enfekte cihazda dosyaları indirme, silme ve manipüle etme.
- Ses Kaydı: Konuşmaları kaydetmek için mikrofon verilerine erişme.
Ek olarak, BTMOB Rat, cihaz kilitleri de dahil olmak üzere güvenlik özelliklerini atlayabilir ve erişilebilirlik hizmetlerini kullanarak şifre veya PIN girişlerini simüle ederek cihazları uzaktan açabilir.
Kalıcı bir odağı olan bir tehdit oyuncusu: EVLF ve BTMOB Rat’ın geleceği
EVLF olarak bilinen siber suçlu, BTMOB sıçanının ve diğer kötü amaçlı araçların dağılımında aktif bir katılımcıdır. Telegram aracılığıyla EVLF, işlevselliğini artırmak ve tespitten kaçınmak için BTMOB sıçanını sürekli olarak güncelliyor. Kötü amaçlı yazılımların C&C sunucusundan 16 farklı komut alma yeteneği, yüksek düzeyde esneklik ve kalıcılık gösterir. Bu komutlar, saldırganın iletişim listelerini ve SMS mesajlarını çalmaktan cihaz ses ayarlarını manipüle etmeye kadar bir dizi kötü amaçlı etkinlik yürütmesini sağlar.
Kötü amaçlı yazılımların tasarımı ve EVLF’nin katılımı, BTMOB sıçanının sadece sofistike bir araç değil, aynı zamanda kalıcı bir tehdit olduğunu göstermektedir. Düzenli güncellemeler ve yeni özelliklerin eklenmesiyle yönlendirilen bu devam eden evrim, BTMOB Rat’ın mobil cihaz güvenliği için bir konu olmasını sağlar.
BTMOB RAT teknik detayları
BTMOB sıçanının teknik çalışmaları birkaç kontrol ve eksfiltrasyon katmanını içerir. Kötü amaçlı yazılım yüklendiğinde, kullanıcıdan erişilebilirlik hizmeti izinleri vermesini ister. Bu izin verildikten sonra, kötü amaçlı yazılım, kullanıcı müdahalesi olmadan ek izin vermek de dahil olmak üzere cihazın işlemlerini yönetmeye devam eder. Daha sonra komutları başlatmak ve güncellemeleri almak için bir WebSocket sunucusuna bağlanır.
- Komut Türleri: Kötü amaçlı yazılım, eylemleri yürütme, etkinlikleri durdurma veya yeni bağlantılar kurma komutları da dahil olmak üzere C&C sunucusundan beş tür yanıt alabilir.
- Veri Defiltrasyonu: Cihaz adı, işletim sistemi sürümü, pil durumu ve yüklü uygulamalar dahil olmak üzere çeşitli cihaz ayrıntılarını C&C sunucusuna geri aktarır.
- WebView Enjeksiyonu: Kötü amaçlı yazılım, uygulamalara sahte oturum açma sayfaları enjekte eder, kullanıcı tarafından girilen kimlik bilgilerini çalar ve daha fazla sömürü için sunucuya gönderir.
Ekran ve JECT komutları BTMOB Rat’ın yeteneklerini daha da artırır. Ekran komutu, saldırganların kurbanın cihazını gerçek zamanlı olarak görüntülemesine izin vererek canlı ekran paylaşımını sağlar. JECT komutu, HTML enjeksiyonlarını işler ve kötü amaçlı yazılımların şifreler ve kredi kartı ayrıntıları gibi hassas verileri yakalayan kimlik avı sayfalarını görüntülemesine izin verir.
Öneri ve azaltma stratejileri
BTMOB sıçanının karmaşıklığı göz önüne alındığında, Android kullanıcılarının uyanık kalmaları ve daha iyi siber güvenlik önlemleri almaları gerekiyor. İşte enfeksiyon riskini azaltmak için birkaç önemli öneri:
- Kimlik avı sitelerinden kaçının: Kullanıcılar e -posta veya SMS yoluyla alınan bağlantıları tıklarken dikkatli olmalıdır. Herhangi bir dosya veya uygulamayı indirmeden önce URL’nin meşru olduğundan emin olun.
- Google Play Protect’i etkinleştir: Potansiyel olarak zararlı uygulamaları engellemek için Android cihazlarda Google Play Protect’in etkinleştirildiğinden emin olun.
- Antivirüs yazılımı kullanın: BTMOB Rat gibi Android kötü amaçlı yazılımları algılamak ve kaldırmak için saygın antivirüs yazılımı yükleyin.
- Cihazları düzenli olarak güncelleyin: Android cihazlarını güncel tutmak, güvenlik güvenlik açıklarının derhal yamalanmasını ve sömürü riskini azaltmasını sağlar.
- Çok faktörlü kimlik doğrulamayı etkinleştir (MFA): Ekstra bir koruma katmanı eklemek için mümkün olduğunca hesaplar için her zaman MFA’yı etkinleştirin.
Çözüm
BTMOB faresi, Android kullanıcıları için ciddi ve gelişen bir tehdittir. Spysolr ve Crax Rat gibi diğer kötü amaçlı yazılımların mirası üzerine inşa edilen bu Android kötü amaçlı yazılım, erişilebilirlik hizmetlerinden yararlanmak, hassas verileri çalmak ve kontrol cihazlarını uzaktan kontrol etmek için gelişmiş tekniklerden yararlanır. BTMOB Rat, EVLF’nin arkasındaki tehdit oyuncusu kötü amaçlı yazılımları güncellemeye ve tanıtmaya devam ederken, kullanıcıların cihazlarını ve kişisel bilgilerini korumak için proaktif adımlar atmaları gerekir.